EMD安全

查询语法是基于entity data model(EDM),不是基于底层的model类型,可以从EDM排除一个属性,这样这个属性在client就不能被查询了。

有两种方式可以从EDM中排除一个属性

第一种使用 [IgnoreDataMember]特性

public class Employee

{

    public string Name { get; set; }

    public string Title { get; set; }
    //当应用于类型的成员时,指定该成员不是数据协定的一部分且没有进行序列化 命名空间System.Runtime.Serialization

    [IgnoreDataMember]

    public decimal Salary { get; set; } // Not visible in the EDM

}

第二种方式以编程方式从EDM中排除属性

var employees = modelBuilder.EntitySet<Employee>("Employees");

employees.EntityType.Ignore(emp => emp.Salary);

安全查询

     [Queryable]特性是一个action过滤器支持解析、验证以及应用查询,过滤器将查询选项转为一个LINQ表达式。

Web API支持以下OData查询选项:

为了使用OData的查询,必须显示指定查询可用。可以在全局进行配置或在指定的控制器或action上。

public static void Register(HttpConfiguration config)

{

    config.EnableQuerySupport();

    // ...

}
public class ProductsController : ApiController

{

    [Queryable]

    IQueryable<Product> Get() {}

}

限制查询

为了安全或性能方面的考虑,可能需要限制一些操作。Queryable]特性有一些内建的属性可以实现这一点。如下所示:

//仅允许$skip与$top操作

[Queryable(AllowedQueryOptions=AllowedQueryOptions.Skip | AllowedQueryOptions.Top)]

//在指定属性上进行排序,对于在数据库中没有索引的字段会禁止排序操作的

[Queryable(AllowedOrderByProperties="Id")]

//仅允许“eq”这种逻辑操作

[Queryable(AllowedLogicalOperators=AllowedLogicalOperators.Equal)]

//禁止所有的算术操作

[Queryable(AllowedArithmeticOperators=AllowedArithmeticOperators.None)]

可以通过构造一个QueryableAttribute的实例在定义全局查询过滤

var queryAttribute = new QueryableAttribute()

{

    AllowedQueryOptions = AllowedQueryOptions.Top | AllowedQueryOptions.Skip,

    MaxTop =

};

config.EnableQuerySupport(queryAttribute);

直接调用查询选项

不使用[Queryable]特性,可以在controller中直接调用查询选项,这要做需要在方法中添加一个ODataQueryOptions参数

public IQueryable<Product> Get(ODataQueryOptions opts)

{

    var settings = new ODataValidationSettings()

    {

        // Initialize settings as needed.

        AllowedFunctions = AllowedFunctions.AllMathFunctions

    };

    opts.Validate(settings);

    IQueryable results = opts.ApplyTo(products.AsQueryable());

    return results as IQueryable<Product>;

}

查询验证

[Querable]特性在执行之前就验证查询选项,验证步骤在QueryableAttribute.ValidateQuery 方法中执行,可以自定义验证过程。如下所示:

 public class MyOrderByValidator : OrderByQueryValidator

 {

     // Disallow the 'desc' parameter for $orderby option.

     public override void Validate(OrderByQueryOption orderByOption,

                                     ODataValidationSettings validationSettings)

     {

         if (orderByOption.OrderByNodes.Any(

                 node => node.Direction == OrderByDirection.Descending))

         {

             throw new ODataException("The 'desc' option is not supported.");

         }

         base.Validate(orderByOption, validationSettings);

     }

 }

 public class MyQueryableAttribute : QueryableAttribute

 {

     public override void ValidateQuery(HttpRequestMessage request,

         ODataQueryOptions queryOptions)

     {

         if (queryOptions.OrderBy != null)

         {

             queryOptions.OrderBy.Validator = new MyOrderByValidator();

         }

         base.ValidateQuery(request, queryOptions);

     }

 }

 // Globally:

 config.EnableQuerySupport(new MyQueryableAttribute());

 // Per controller:

 public class ValuesController : ApiController

 {

     [MyQueryable]

     public IQueryable<Product> Get()

     {

         return products.AsQueryable();

     }

 }

如果直接使用ODataQueryOptions 可以设置验证器

public IQueryable<Product> Get(ODataQueryOptions opts)

{

    if (opts.OrderBy != null)

    {

        opts.OrderBy.Validator = new MyOrderByValidator();

    }

    var settings = new ODataValidationSettings()

    {

        // Initialize settings as needed.

        AllowedFunctions = AllowedFunctions.AllMathFunctions

    };

    // Validate

    opts.Validate(settings);

    IQueryable results = opts.ApplyTo(products.AsQueryable());

    return results as IQueryable<Product>;

}

Note:在新版本的WebAPI中[Queryable]特性已经被否决,使用[EnableQuery]特性

WebApi2官网学习记录---OData中的查询的更多相关文章

  1. WebApi2官网学习记录---Html Form Data

    HTML Forms概述 <form action="api/values" method="post"> 默认的method是GET,如果使用GE ...

  2. WebApi2官网学习记录---Cookie

    Cookie的几个参数: Domain.Path.Expires.Max-Age 如果Expires与Max-Age都存在,Max-Age优先级高,如果都没有设置cookie会在会话结束后删除cook ...

  3. WebApi2官网学习记录--HttpClient Message Handlers

    在客户端,HttpClient使用message handle处理request.默认的handler是HttpClientHandler,用来发送请求和获取response从服务端.可以在clien ...

  4. WebApi2官网学习记录--HTTP Message Handlers

    Message Handlers是一个接收HTTP Request返回HTTP Response的类,继承自HttpMessageHandler 通常,一些列的message handler被链接到一 ...

  5. WebApi2官网学习记录---Configuring

    Configuration Settings WebAPI中的configuration settings定义在HttpConfiguration中.有一下成员: DependencyResolver ...

  6. WebApi2官网学习记录--- Authentication与Authorization

    Authentication(认证)   WebAPI中的认证既可以使用HttpModel也可以使用HTTP message handler,具体使用哪个可以参考一下依据: 一个HttpModel可以 ...

  7. WebApi2官网学习记录---Tracing

    安装追踪用的包 Install-Package Microsoft.AspNet.WebApi.Tracing Update-Package Microsoft.AspNet.WebApi.WebHo ...

  8. WebApi2官网学习记录---异常处理

    HttpResponseException 当WebAPI的控制器抛出一个未捕获的异常时,默认情况下,大多数异常被转为status code为500的http response即服务端错误. Http ...

  9. WebApi2官网学习记录---Content Negotiation

    Content Negotiation的意思是:当有多种Content-Type可供选择时,选择最合适的一种进行序列化并返回给client. 主要依据请求中的Accept.Accept-Charset ...

随机推荐

  1. new的原理

    先来个构造函数的例子: function Prince(name,age){ this.name=name; this.age=age; } var prince=new Prince("c ...

  2. MVC项目发布IIS访问不了

    首先在配置文件上加红色字体这个配置 用来打印错误信息,再根据错误信息来处理 <system.webServer> <validation validateIntegratedMode ...

  3. Polygon对象

    Polylgon对象是由一个或多个Ring对象的有序集合,它可以是由单个Ring 对象构成,也可以使用多个Ring组成.Polygon通常用来代表有面积的多边形矢量对象,如行政区,建筑物等.

  4. Java Se 基础系列(笔记) -- OO

    记录所学到的关于Java Se的一些基础知识 1.对象是通过“属性(成员变量)”和“方法”来分别对应事物所具有的静态属性和动态属性 2.类(Class)是对某一类事物的抽象,对象(Object)为某个 ...

  5. AJAX 跨域

    1.说到ajax就会遇到的两个问题 1.1AJAX以何种格式来交换数据                    1.自定义字符串 2.XML描述 3.JSON描述(建议使用)          1.2如 ...

  6. python类方法与对象方法学习

    class Test_Demo: TEST = 'test_value' def __init__(self,name,age): self.name = name self.age = age #s ...

  7. C语言初学 比较五个整数并输出最大值和最小值1

    #include<stdio.h> #include<math.h> int max(int x,int y) { if(x>y) return x; else retu ...

  8. C语言 创建一个 txt 文件 bin输入字符 保存文件在工作文件夹里

    int main(void) { char s[70]; FILE *fp; fp=fopen("123.txt","r"); if((fp=fopen(&qu ...

  9. Cassandra笔记--2. 安装

    1. 从apache官网下载Cassandra,我用的版本是2.1.8.压缩包解压,这里的目录是D:\cassandra\apache-cassandra-2.1.8 2. 配置环境变量  添加环境变 ...

  10. ios打包ipa的四种实用方法(.app转.ipa)-备

    感谢大神分享这个博客 总结一下,目前.app包转为.ipa包的方法有以下几种: 1.Apple推荐的方式,即实用xcode的archive功能 Xcode菜单栏->Product->Arc ...